Hoe we malware verzamelen voor hands-on antivirus testen

Hier bij PCMag, wanneer we producten beoordelen, zetten we ze door de wringer en oefenen we alle functies uit om te bevestigen dat ze werken en soepel werken. Voor back-upproducten controleren we bijvoorbeeld of ze correct een back-up van bestanden maken en het terugzetten van back-ups eenvoudig maken. Voor videobewerkingsproducten meten we factoren zoals weergavetijd. Voor virtuele privénetwerken of VPN's voeren we prestatietests op het continent uit. Dat is allemaal volkomen veilig en eenvoudig. Het gaat een beetje anders als het gaat om antivirusprogramma's, want echt controleren of ze werken, betekent dat we ze aan echte malware moeten onderwerpen.

De Anti-Malware Testing Standards Organisation (AMTSO) biedt een verzameling functiecontrolepagina's, zodat u ervoor kunt zorgen dat uw antivirus werkt om malware te elimineren, drive-by downloads te blokkeren, phishing-aanvallen te voorkomen, enzovoort. Er is echter geen sprake van daadwerkelijke malware. Deelnemende antivirusbedrijven komen eenvoudigweg overeen hun antivirus- en beveiligingspakketproducten te configureren om gesimuleerde aanvallen van AMTSO te detecteren. En niet elk beveiligingsbedrijf kiest ervoor om deel te nemen.

Antivirus testlaboratoria over de hele wereld zetten beveiligingshulpmiddelen af ​​via slopende tests en rapporteren periodiek resultaten. Wanneer laboratoriumresultaten beschikbaar zijn voor een product, geven we die scores een serieus gewicht in de beoordeling van dat product. Als alle vier de labs die we volgen hun hoogste score voor een product geven, is het zeker een uitstekende keuze.

Helaas neemt amper een kwart van de bedrijven die we testen deel aan alle vier de labs. Nog een kwart werkt met slechts één lab en volledig 30 procent doet niet mee met een van de vier. Het is duidelijk dat hands-on testen een must is.

Zelfs als de laboratoria zouden rapporteren over alle producten die we behandelen, zouden we nog steeds hands-on testen. Zou je een auto-recensie van een schrijver vertrouwen die zelfs nooit een proefrit heeft gemaakt? Nee.

Bekijk hoe we antivirus- en beveiligingssoftware testen

Een breed net werpen

Alleen omdat het product meldt: "Hé, ik heb een malwaremonster gevangen!" betekent niet dat het succesvol was. In feite onthullen onze tests vaak gevallen waarin de antivirus een malware-component heeft gevangen maar een andere heeft laten draaien. We moeten onze monsters grondig analyseren en de veranderingen die ze in het systeem aanbrengen, noteren, zodat we kunnen bevestigen dat de antivirus heeft gedaan wat hij beweerde.

De onafhankelijke laboratoria hebben teams van onderzoekers die zich toeleggen op het verzamelen en analyseren van de nieuwste monsters. PCMag heeft slechts enkele beveiligingsanalisten die verantwoordelijk zijn voor veel meer dan alleen het verzamelen en analyseren van malware. We kunnen de tijd slechts sparen om een ​​nieuwe set monsters eenmaal per jaar te analyseren. Omdat de monsters maanden in gebruik blijven, hebben producten die later worden getest mogelijk het voordeel dat ze meer tijd hebben om hetzelfde monster in het wild te detecteren. Om oneerlijk voordeel te voorkomen, beginnen we met monsters die enkele maanden eerder verschenen. We gebruiken onder meer de dagelijkse feeds van MRG-Effitas om het proces te starten.

In een virtuele machine, verbonden met internet maar geïsoleerd van het lokale netwerk, voeren we een eenvoudig hulpprogramma uit dat de lijst met URL's opneemt en probeert de bijbehorende voorbeelden te downloaden. In veel gevallen is de URL natuurlijk niet meer geldig. In deze fase willen we 400 tot 500 monsters, omdat er een serieus verloop is als we de monsterset naar beneden halen.

De eerste winningspas elimineert bestanden die onmogelijk klein zijn. Alles minder dan 100 bytes is duidelijk een fragment van een download die niet is voltooid.

Vervolgens isoleren we het testsysteem van internet en lanceren we eenvoudig elk monster. Sommige voorbeelden worden niet gestart vanwege incompatibiliteit met de Windows-versie of het ontbreken van benodigde bestanden; boem, ze zijn weg. Anderen geven een foutmelding weer die aangeeft dat de installatie is mislukt of een ander probleem. We hebben geleerd die in de mix te houden; vaak blijft een kwaadaardig achtergrondproces werken na de vermeende crash.

Dupes en detecties

Het feit dat twee bestanden verschillende namen hebben, betekent niet dat ze verschillend zijn. Ons verzamelschema levert meestal veel duplicaten op. Gelukkig is het niet nodig om elk paar bestanden te vergelijken om te zien of ze hetzelfde zijn. In plaats daarvan gebruiken we een hashfunctie, een soort eenrichtingsversleuteling. De hash-functie retourneert altijd hetzelfde resultaat voor dezelfde invoer, maar zelfs een iets andere invoer levert wild verschillende resultaten op. Bovendien is er geen manier om van de hash terug naar het origineel te gaan. Twee bestanden met dezelfde hash zijn hetzelfde.

We gebruiken hiervoor het eerbiedwaardige HashMyFiles-hulpprogramma van NirSoft. Het identificeert automatisch bestanden met dezelfde hash, waardoor het eenvoudig is om dubbele bestanden te verwijderen.

Nog een gebruik voor hashes

VirusTotal is ontstaan ​​als een website voor onderzoekers om opmerkingen over malware te delen. Momenteel een dochteronderneming van Alphabet (het moederbedrijf van Google), blijft het functioneren als een clearinghouse.

Iedereen kan een bestand ter analyse naar VirusTotal verzenden. De site voert het voorbeeld uit voorbij antivirus-engines van meer dan 60 beveiligingsbedrijven en rapporteert hoeveel het monster als malware hebben gemarkeerd. Het slaat ook de hash van het bestand op, zodat het die analyse niet hoeft te herhalen als hetzelfde bestand opnieuw verschijnt. Handig is dat HashMyFiles een optie met één klik heeft om de hash van een bestand naar VirusTotal te verzenden. We nemen de voorbeelden door die het tot nu toe hebben gemaakt en zien wat VirusTotal over elk ervan zegt.

De meest interessante zijn natuurlijk die VirusTotal nog nooit heeft gezien. Omgekeerd, als 60 van de 60 motoren een bestand een schone gezondheidsbrief geven, is de kans groot dat het geen malware is. Het gebruik van de detectiecijfers helpt ons de monsters in volgorde van meest waarschijnlijke tot minst waarschijnlijke te plaatsen.

Merk op dat VirusTotal zelf duidelijk aangeeft dat niemand het zou moeten gebruiken in plaats van een echte antivirus-engine. Toch is het een grote hulp bij het identificeren van de beste vooruitzichten voor onze malwarecollectie.

Ren en kijk

Op dit punt begint de praktische analyse. We gebruiken een eigen programma (slim genaamd RunAndWatch) om elk monster uit te voeren en te bekijken. Een PCMag-hulpprogramma genaamd InCtrl (afkorting van Install Control) maakt een momentopname van het register en het bestandssysteem voor en na de lancering van de malware en rapporteert wat er is veranderd. De wetenschap dat er iets is veranderd, bewijst natuurlijk niet dat het malwaremonster dit heeft veranderd.

De ProcMon Process Monitor van Microsoft bewaakt alle activiteiten in realtime en registreert register- en bestandssysteemacties (onder andere) door elk proces. Zelfs met onze filters zijn de logboeken enorm. Maar ze helpen ons de door InCtrl5 gemelde wijzigingen te koppelen aan de processen die deze wijzigingen hebben aangebracht.

Afspoelen en herhalen

Het kost tijd om de enorme logs van de vorige stap in iets bruikbaars samen te brengen. Met behulp van een ander intern programma elimineren we duplicaten, verzamelen we gegevens die interessant lijken te zijn en wissen we gegevens die duidelijk geen verband houden met het voorbeeld van malware. Dit is zowel een kunst als een wetenschap; er is veel ervaring voor nodig om niet-essentiële items snel te herkennen en belangrijke vermeldingen vast te leggen.

Soms is er na dit filterproces niets meer over, wat betekent dat wat het monster ook deed, ons eenvoudige analysesysteem het miste. Als een monster voorbij deze stap komt, gaat het door nog een eigen filter. Deze gaat dieper in op duplicaten en begint de loggegevens in een indeling te plaatsen die door de laatste tool wordt gebruikt, degene die tijdens het testen op malwaresporen controleert.

Last-minute aanpassingen

Het hoogtepunt van dit proces is ons NuSpyCheck-hulpprogramma (lang geleden genoemd toen spyware vaker voorkomt). Met alle verwerkte monsters voeren we NuSpyCheck uit op een schoon testsysteem. Heel vaak zullen we zien dat sommige van wat we dachten dat malware-sporen al aanwezig waren op het systeem. In dat geval zetten we NuSpyCheck in bewerkingsmodus en verwijderen die.

Er is nog een slag en het is een belangrijke. De virtuele machine resetten naar een schone momentopname tussen de tests, lanceren we elk monster, laten het volledig lopen en controleren het systeem met NuSpyCheck. Ook hier zijn er altijd enkele sporen die tijdens het vastleggen van gegevens leken te verschijnen, maar niet tijdens de test verschijnen, misschien omdat ze tijdelijk waren. Bovendien gebruiken veel malwarevoorbeelden willekeurig gegenereerde namen voor bestanden en mappen, die elke keer anders zijn. Voor die polymorfe sporen voegen we een opmerking toe die het patroon beschrijft, zoals 'uitvoerbare naam met acht cijfers'.

Nog een paar monsters verlaten het veld in deze laatste fase, want met het wegscheren van datapunten was er niets meer te meten. Degenen die overblijven, worden de volgende reeks malwarevoorbeelden. Van de originele 400 tot 500 URL's hebben we meestal rond de 30.

De Ransomware-uitzondering

System-locker ransomware zoals de beruchte Petya codeert je harde schijf, waardoor de computer onbruikbaar wordt totdat je het losgeld betaalt. De meest voorkomende ransomware-typen voor codering van bestanden coderen uw bestanden op de achtergrond. Als ze de vuile daad hebben gedaan, duiken ze op in een grote vraag naar losgeld. We hebben geen hulpprogramma nodig om te detecteren dat de antivirus een van deze heeft gemist; de malware maakt zichzelf duidelijk.

Veel beveiligingsproducten voegen extra lagen ransomware-bescherming toe, naast de standaard antivirus-engines. Dat is logisch. Als uw antivirus een Trojaanse aanval mist, zal het deze waarschijnlijk binnen enkele dagen opruimen nadat het nieuwe handtekeningen heeft gekregen. Maar als het ransomware mist, heb je pech. Waar mogelijk schakelen we de basis antiviruscomponenten uit en testen we of alleen het ransomware-beveiligingssysteem uw bestanden en computer veilig kan houden.

Wat deze voorbeelden niet zijn

De grote antivirus testlaboratoria kunnen vele duizenden bestanden gebruiken voor het testen van statische bestandsherkenning, en vele honderden voor dynamische testen (wat betekent dat ze de monsters starten en zien wat de antivirus doet). Daar proberen we niet voor. Onze 30-oneven monsters laten ons een idee krijgen van hoe de antivirusaanvallen omgaan, en wanneer we geen resultaten van de laboratoria hebben, hebben we iets waarop we kunnen terugvallen.

We proberen een mix van vele soorten malware te garanderen, waaronder ransomware, Trojaanse paarden, virussen en meer. We nemen ook een aantal mogelijk ongewenste toepassingen (PUA's) op, waarbij we ervoor zorgen dat indien nodig PUA-detectie in het te testen product wordt ingeschakeld.

Sommige malwaretoepassingen detecteren wanneer ze op een virtuele machine worden uitgevoerd en onthouden zich van nare activiteiten. Dat is prima; die gebruiken we gewoon niet. Sommigen wachten uren of dagen voordat ze worden geactiveerd. Nogmaals, we gebruiken deze gewoon niet.

We hopen dat dit kijkje achter de schermen bij onze praktische malwarebeschermingstests je enig inzicht heeft gegeven in hoe ver we zullen gaan om antivirusbescherming in actie te ervaren. Zoals opgemerkt, hebben we geen toegewijd team van antivirusonderzoekers zoals de grote laboratoria, maar we brengen u in de loopgraven en melden dat u nergens anders zult vinden.